- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-分層AC配置
本章節下載: 09-分層AC配置 (464.08 KB)
分層AC提供了一種集中管理與分布式控製相結合的機製,在保證性能的基礎上提高了無線網絡的可維護性和可擴展性,滿足了AC和AP之間的高速鏈接需求。
分層AC組網由Central AC、Local AC和AP組成,Central AC負責整個無線網絡的管理,Local AC負責AP的接入並轉發數據流量。
分層AC架構使用以下兩種通道來實現AP的集中管理:
· Central AC與Local AC建立管理通道。
Central AC與Local AC之間通過建立管理通道,實現網絡配置及用戶信息的自動同步和管理。
· AP與Local AC建立CAPWAP隧道。
當AP與Local AC建立CAPWAP隧道連接後,Local AC會將相關配置下發給AP,實現配置自動同步。
圖1-1 分層AC架構示意圖
如圖1-2所示,AP加入分層AC網絡的過程如下:
(1) Central AC與各Local AC間建立管理通道;
(2) AP向Central AC發送Discovery request報文;
(3) Central AC收到Discovery request報文後,根據當前各Local AC的負載情況,選擇當前負載最輕的Local AC,在向AP回複的Discovery response報文中攜帶指定Local AC的IP地址;
(4) AP收到Discovery response報文,根據報文中攜帶的Local AC的IP地址,向Local AC重新發送Discovery request報文,與Local AC建立隧道連接。AP與Local AC建立隧道的過程中,Local AC會向Central AC查詢該AP是否為合法AP(該AP為手工AP或Central AC上開啟了自動AP功能),若該AP為合法AP,Central AC會將AP配置下發到Local AC,若AP不是合法AP,則AP連接失敗。有關手工AP及自動AP的詳細介紹,請參見“AP管理配置指導”中的“AP管理”;
(5) AP與Local AC之間的CAPWAP隧道建立成功後,Local AC會通知Central AC該AP上線成功,並通過管理通道將AP及客戶端的狀態上報至Central AC。
(6) Central AC根據Local AC上報的信息來管理AP及客戶端。
圖1-2 AP與Local AC建立CAPWAP隧道過程
在分層AC架構中,數據轉發方式與傳統AC+Fit AP架構相同,既可以在Local AC上進行數據轉發,也可以在AP進行數據轉發。
有關數據轉發位置的詳細介紹,請參見“WLAN接入配置指導”中的“WLAN接入”。
分層AC架構下的漫遊方式取決於用戶的接入認證位置。
· 當WLAN用戶接入認證位置為Local AC時,漫遊方式與傳統AC+Fit AP架構相同,既可以在Local AC內進行漫遊,也可以在Local AC間進行漫遊;
· 當WLAN用戶接入認證位置為Central AC,客戶端初始上線時,Central AC和客戶端關聯的Local AC上會同時創建客戶端漫遊表項,Local AC可以根據該漫遊表項信息實現客戶端Local AC內或者Local AC間漫遊。
有關WLAN用戶接入認證位置的詳細介紹,請參見“用戶接入與認證配置指導”中的“WLAN用戶接入認證”。有關漫遊的詳細介紹,請參見“WLAN漫遊配置指導”中的“WLAN漫遊”。
在分層AC架構下,可以為Central AC和Local AC的管理員提供不同的管理權限,通過配置地區標識實現對不同地域和級別管理員的權限劃分,用戶可以在設備的如下配置項上標記不同的地區標識:
· 無線服務模板:該標識定義了管理員可管理的無線服務模板。
· AP組:該標識定義了管理員可管理的AP組。
· RRM保持調整組:該標識定義了管理員可管理的RRM保持調整組。
例如,地區A的管理員隻能管理地區A的無線服務模板;地區B的管理員隻能管理地區B的無線服務模板;超級管理員可管理地區A和地區B的無線服務模板。
設備上存在一個名稱為default-location的默認地區標識,標記該標識的配置項可被所有管理員管理。管理員新建的配置項會標記默認地區標識,且該標識不能被刪除。
在Web頁麵上,係統將根據管理員身份過濾配置項,管理員隻能查看並管理與用戶角色的地區標識相同的配置項和標記了default-location的配置項。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX2500X係列 |
· WX2560X · WX2580X |
· EWP-WX2560X · EWP-WX2580X |
Local AC |
|
WX2500X-E係列 |
WX2508X-E |
EWP-WX2508X-E |
不支持 |
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX2800X係列 |
· WX2812X-PWR · WX2860X · WX2880X |
· EWP-WX2812X-PWR · EWP-WX2860X · EWP-WX2880X |
Local AC |
|
WSG1800X係列 |
· WSG1812X-PWR · WSG1840X |
· EWP-WSG1812X-PWR · EWP-WSG1840X |
Local AC |
在Local AC上開啟Local AC功能,並指定Central AC的IP地址後,該Local AC將與Central AC建立管理通道。
最多可配置3個Central AC的IPv4地址、3個Central AC的IPv6地址。
(1) 進入係統視圖。
system-view
(2) 開啟Local AC功能。
wlan local-ac enable
缺省情況下,Local AC功能處於關閉狀態。
(3) 指定Central AC的IP地址。
wlan central-ac { ip ipv4-address | ipv6 ipv6-address }
缺省情況下,未指定Central AC的IP地址。
(4) 指定與Central AC建立管理通道的VLAN。
wlan local-ac capwap source-vlan vlan-id
缺省情況下,Local AC使用VLAN 1與Central AC建立管理通道。
在完成上述配置後,在任意視圖下執行display命令可以查看顯示信息驗證配置的效果。
表1-1 分層AC顯示和維護
|
操作 |
命令 |
|
顯示AC的角色信息 |
display wlan ac-role |
|
顯示客戶端的信息 |
display wlan client distributed-sys [ verbose ] |
|
在Local AC上顯示Local AC信息 |
display wlan local-ac |
如圖1-3所示,總部部署Central AC,位於分支的Local AC則負責管理和接入本地AP和無線客戶端。用戶的認證授權則由總部Central AC負責,數據流量由Local AC轉發。
圖1-3 分層AC通用組網典型配置組網圖
(1) 配置Local AC作為DHCP server為其下接入的AP分配IP地址,並通過DHCP報文向這些AP通告Central AC的地址,配置步驟略
(2) 配置Central AC
# 創建名稱為localac1的Local AC,並配置Local AC的序列號。
<CentralAC> system-view
[CentralAC] wlan local-ac name localac1 model WX2560X
[CentralAC-wlan-local-ac-localac1] serial-id 219801A2GFC123000050
[CentralAC-wlan-local-ac-localac1] quit
# 創建名稱為localac2的Local AC,並配置Local AC的序列號。
[CentralAC] wlan local-ac name localac2 model WX2560X
[CentralAC-wlan-local-ac-localac2] serial-id 219801A2GFC123000060
[CentralAC-wlan-local-ac-localac2] quit
# 創建ap1,並配置ap1的序列號。
[CentralAC] wlan ap ap1 model WA6320
[CentralAC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 開啟ap1的二次發現AC功能。
[CentralAC-wlan-ap-ap1] control-address enable
[CentralAC-wlan-ap-ap1] quit
# 創建Vlan-interface100接口並配置IP地址。
[CentralAC] interface vlan-interface 100
[CentralAC-Vlan-interface100] ip address 1.1.1.1 24
[CentralAC-Vlan-interface100] quit
(3) 配置Local AC 1
# 在Local AC 1上指定VLAN 100與Central AC建立管理通道。
<LocalAC1>system-view
[LocalAC1] wlan local-ac capwap source-vlan 100
# 創建Vlan-interface100接口並配置IP地址。
[LocalAC1] interface vlan-interface 100
[LocalAC1-Vlan-interface100] ip address 1.1.1.2 24
[LocalAC1-Vlan-interface100] quit
# 開啟Local AC功能。
[LocalAC1] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC1] wlan central-ac ip 1.1.1.1
(4) 配置Local AC 2
# 在Local AC 2上指定VLAN 100與Central AC建立管理通道。
<LocalAC2>system-view
[LocalAC2] wlan local-ac capwap source-vlan 100
# 創建Vlan-interface100接口並配置IP地址。
[LocalAC2] interface vlan-interface 100
[LocalAC2-Vlan-interface100] ip address 1.1.1.3 24
[LocalAC2-Vlan-interface100] quit
# 開啟Local AC功能。
[LocalAC2] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC2] wlan central-ac ip 1.1.1.1
# 使用display wlan local-ac all命令在Central AC上查看所有Local AC的信息,可以看到Localac1已經與Central AC建立通道。
[CentralAC] display wlan local-ac all
Total number of local ACs: 2
Total number of connected local ACs: 2
Local AC Information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run
AC name ACID State Model Serial ID
localac1 1 R WX2560X 219801A2GFC123000050
localac2 2 R WX2560X 219801A2GFC124000060
# 使用display wlan local-ac命令在Local AC 1上查看當前Local AC信息,可以看到Local AC 1已經與Central AC成功建立通道。
[LocalAC1] display wlan local-ac
Local AC Information:
Model : WX2560X
Serial ID : 219801A2GFC123000050
MAC address : 5866-BA20-6E60
Local AC address : 1.1.1.2
Static central AC IPv4 address: 1.1.1.1
Static central AC IPv6 address: Not configured
Central AC Information:
Central AC address : 1.1.1.1
State : Run
Sent control packets : 6088
Received control packets : 6092
# 使用display wlan ap all命令在Central AC上查看AP信息,可以看到AP已經成功上線。
[CentralAC] display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected configured APs: 1
Total number of connected auto APs: 0
Total number of connected anchor APs: 0
Maximum supported APs: 3072
Remaining APs: 3071
Fit APs activated by license: 128
Remaining fit APs: 127
WTUs activated by license: 0
Remaining WTUs: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name APID State Model Serial ID
ap1 1 R/M WA6320 219801A28N819CE0002T
某公司總部位於地區A,該公司無線網絡采用分層AC的架構,Central AC位於總部,Local AC位於地區B、地區C分部。為了便於管理,現將地區B分部的所有AP交由地區B的管理員b-admin管理;地區C分部的所有AP交由地區C的管理員c-admin管理;公司所有AP,總部的超級管理員admin可全權管理。
圖1-4 AP組管理權限配置組網圖
(1) 配置Local AC作為DHCP server為其下接入的AP分配IP地址,並通過DHCP報文向這些AP通告Central AC的地址,配置步驟略
(2) 配置Central AC
# 配置開啟Central AC設備的Telnet服務,管理員登錄設備時采用AAA認證。
<CentralAC> system-view
[CentralAC] telnet server enable
[CentralAC] line vty 0 5
[CentralAC-line-vty0-5] authentication-mode scheme
[CentralAC-line-vty0-5] quit
# 創建名稱為localac-b的Local AC,指定型號為WX2560X,並配置該Local AC的序列號。
[CentralAC] wlan local-ac name localac-b model WX2560X
[CentralAC-wlan-local-ac-localac-b] serial-id 219801A2GFC123000050
[CentralAC-wlan-local-ac-localac-b] quit
# 創建名稱為localac-c的Local AC,指定型號為WX2560X,並配置該Local AC的序列號。
[CentralAC] wlan local-ac name localac-c model WX2560X
[CentralAC-wlan-local-ac-localac-c] serial-id 219801A2GFC123000051
[CentralAC-wlan-local-ac-localac-c] quit
# 創建型號為WA6320 的ap1,並配置ap1的序列號。
[CentralAC] wlan ap ap1 model WA6320
[CentralAC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 開啟ap1的二次發現AC功能。
[CentralAC-wlan-ap-ap1] control-address enable
[CentralAC-wlan-ap-ap1] quit
# AP 2、AP 3、AP 4配置方法同上,此處略。
# 創建Vlan-interface100接口並配置IP地址,該地址用於在Local AC與Central AC間建立管理通道。
[CentralAC] interface vlan-interface 100
[CentralAC-Vlan-interface100] ip address 10.0.0.1 24
[CentralAC-Vlan-interface100] quit
# 創建地區標識areab和areac。
[CentralAC] wlan location areab
[CentralAC] wlan location areac
# 創建用戶角色b。
[CentralAC] role name b
# 配置基於XML元素、Web菜單的規則。
[CentralAC-role-b] rule 1 permit read write execute xml-element
[CentralAC-role-b] rule 2 permit read write execute web-menu
# 進入地區標識策略視圖並配置允許用戶操作的地區標識areab。
[CentralAC-role-b] location policy deny
[CentralAC-role-b-locationpolicy] permit location areab
[CentralAC-role-b-locationpolicy] quit
[CentralAC-role-b] quit
# 創建用戶角色c。
[CentralAC] role name c
# 配置基於XML元素、Web菜單的規則。
[CentralAC-role-c] rule 1 permit read write execute xml-element
[CentralAC-role-c] rule 2 permit read write execute web-menu
# 進入地區標識策略視圖並配置允許用戶操作的地區標識areac。
[CentralAC-role-c] location policy deny
[CentralAC-role-c-locationpolicy] permit location areac
[CentralAC-role-c-locationpolicy] quit
[CentralAC-role-c] quit
# 配置本地用戶admin。
[CentralAC] local-user admin
# 配置用戶admin可以使用HTTP與HTTPS服務。
[CentralAC-luser-manage-admin] service-type http https
[CentralAC-luser-manage-admin] quit
# 創建並配置本地用戶b-admin。
[CentralAC] local-user b-admin
# 配置用戶b-admin可以使用HTTP與HTTPS服務。
[CentralAC-luser-manage-b-admin] service-type http https
# 設置用戶b-admin的密碼。
[CentralAC-luser-manage-b-admin] password simple 123456TESTplat&!
# 指定用戶b-admin的授權角色為b。
[CentralAC-luser-manage-b-admin] authorization-attribute user-role b
# 為保證用戶僅使用授權的用戶角色b,刪除用戶b-admin的缺省用戶角色network-operator。
[CentralAC-luser-manage-b-admin] undo authorization-attribute user-role network-operator
[CentralAC-luser-manage-b-admin] quit
# 創建並配置本地用戶c-admin。
[CentralAC] local-user c-admin
# 配置用戶c-admin可以使用HTTP與HTTPS服務。
[CentralAC-luser-manage-c-admin] service-type http https
# 設置用戶c-admin的密碼。
[CentralAC-luser-manage-c-admin] password simple 1234567TESTplat&!
# 指定用戶c-admin的授權角色為c。
[CentralAC-luser-manage-c-admin] authorization-attribute user-role c
# 為保證用戶僅使用授權的用戶角色c,刪除用戶c-admin的缺省用戶角色network-operator。
[CentralAC-luser-manage-c-admin] undo authorization-attribute user-role network-operator
[CentralAC-luser-manage-c-admin] quit
# 創建AP組groupb,將AP 1與AP 2加入該組中。
[CentralAC] wlan ap-group groupb
[CentralAC-wlan-ap-group-groupb] ap ap1 ap2
# 標記AP組groupb的地區為標識areab。
[CentralAC-wlan-ap-group-groupb] location areab
[CentralAC-wlan-ap-group-groupb] quit
# 創建AP組groupc,將AP 3與AP 4加入該組中。
[CentralAC] wlan ap-group groupc
[CentralAC-wlan-ap-group-groupc] ap ap3 ap4
# 標記AP組groupc的地區標識為areac。
[CentralAC-wlan-ap-group-groupc] location areac
[CentralAC-wlan-ap-group-groupc] quit
(3) 配置Local AC-B
# 在Local AC-B上指定VLAN 100與Central AC建立管理通道。
<LocalAC-B>system-view
[LocalAC-B] wlan local-ac capwap source-vlan 100
# 創建Vlan-interface100接口並配置IP地址,該地址用於在Local AC與Central AC間建立管理通道。
[LocalAC-B] interface vlan-interface 100
[LocalAC-B-Vlan-interface100] ip address 10.0.0.2 24
[LocalAC-B-Vlan-interface100] quit
# 開啟Local AC功能。
[LocalAC-B] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC-B] wlan central-ac ip 10.0.0.1
(4) 配置Local AC-C
# 在Local AC-C上指定VLAN 100與Central AC建立管理通道。
<LocalAC-C>system-view
[LocalAC-C] wlan local-ac capwap source-vlan 100
# 創建Vlan-interface100接口並配置IP地址,該地址用於在Local AC與Central AC間建立管理通道。
<LocalAC-C> system-view
[LocalAC-C] interface vlan-interface 100
[LocalAC-C-Vlan-interface100] ip address 10.0.0.3 24
[LocalAC-C-Vlan-interface100] quit
# 開啟Local AC功能。
[LocalAC-C] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC-C] wlan central-ac ip 10.0.0.1
# 通過Telnet方式登錄到Central AC上,在Web頁麵上登錄超級管理員賬號,查看並管理所有AP。
圖1-5 超級管理員登錄界麵
# 在Web頁麵上登錄地區C管理員賬號,查看、管理地區C分部的AP。
圖1-6 地區C管理員登錄界麵
# 在Web頁麵上登錄地區B管理員賬號,查看、管理地區B分部的AP。
圖1-7 地區B管理員登錄界麵
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
